フィリップスクリニカルコラボレーションプラットフォームポータルの複数の脆弱性 (CVE-2020-1938)

セキュリティ研究者は、フィリップスクリニカルコラボレーションプラットフォームポータルにいくつかの脆弱性を報告しました.

フィリップスクリニカルコラボレーションプラットフォームポータルの脆弱性

脆弱性, 15 合計で, 医療機器の制御に使用できます. 公式のCISAアドバイザリによると, 欠陥は、複雑度の低い攻撃でリモートで悪用される可能性があります.

リスク評価の観点から, 「これらの脆弱性の悪用に成功すると、権限のない人やプロセスが盗聴する可能性があります, データの表示または変更, システムアクセスを取得する, コード実行を実行する, 許可されていないソフトウェアをインストールする, または、機密性に悪影響を与えるような方法でシステムデータの整合性に影響を与える, 威厳, またはシステムの可用性。」

関連している: 45 オンラインで無料でアクセスできる百万の医療画像と記録

フィリップスクリニカルコラボレーションプラットフォームポータルとは, VuePACSとして知られています? すぐに言った, プラットフォームは医療臨床分析ソリューションです. 影響を受けるのは、次のバージョンの製品です:

• Vue PACS: バージョン12.2.xx以前
• Vue MyVue: バージョン12.2.xx以前
• Vueスピーチ: バージョン12.2.xx以前
• Vueモーション: バージョン 12.2.1.5 および以前

これが脆弱性のリストです, に従って 公式CISAアドバイザリ:

• CVE-2020-1938, 不適切な入力検証につながる可能性があります;
• CVE-2018-12326およびCVE-2018-11218, またはメモリバッファの境界を使用した操作の不適切な制限;
• CVE-2020-4670, これは不適切な認証を引き起こします;
• CVE-2018-8014, またはリソースの安全でないデフォルトの初期化;
• CVE-2021-33020, または有効期限を過ぎたキーの使用;
• CVE-2018-10115, または不適切な初期化の問題;
• CVE-2021-27501, またはコーディング標準への不適切な順守;
• CVE-2021-33018, または危険な暗号化アルゴリズムの使用;
• CVE-2021-27497, または保護メカニズムの障害に関連する問題;
• データ整合性の問題を引き起こすCVE-2012-1708;
• クロスサイトスクリプティングの問題を引き起こすCVE-2015-9251;
• 不適切な中和につながる可能性のあるCVE-2021-27493;
• CVE-2019-9636, またはUnicodeコーディングの不適切な処理;
• CVE-2021-33024これは不十分に保護されたクレデンシャルにつながる可能性があります;
• 機密情報のクリアテキスト送信を引き起こす可能性のあるCVE-2021-33022.

フィリップスがすべての問題をサイバーセキュリティおよびインフラストラクチャエージェンシーに報告したことは注目に値します (CISA). 最後に, いずれかの脆弱性に基づく既知の公開エクスプロイトはありません.